‘Risicomanagement? Dat bewaren we voor de rondvraag’

11 oktober 2023
Interne beheersing en controle

Het signaleren en beheersen van risico’s moet hoger op de agenda van directeuren en commissarissen, aldus Michel Frequin, vennoot van Custom Management Interim Directeuren. Effectief risicomanagement gaat verder dan alleen protocollen en systemen en omvat ook soft controls, leiderschap dat onzekerheid en fouten omarmt, proactief toezicht en onafhankelijke informatievergaring, plus een draaiboek voor als er onvermijdelijk toch iets misgaat.

Vaak stellen wij als interim directeuren van Custom Management vast dat de werkelijke problematiek van de crisis die we moeten oplossen fors afwijkt van de opdracht die we meekregen van onze opdrachtgevers. Hoe komt dat? Een belangrijke reden is gelegen in het feit dat opdrachtgevers - vaak de raad van commissarissen, huisbankier of advocaat/curator - niet zelf met de poten in de klei staan. Ze weten, voelen of horen niet wat er echt speelt in of rond een onderneming, waar de voornaamste interne en externe risico’s liggen en hoe deze gemitigeerd zouden moeten worden. Tót het te laat is.

Wat kan er misgaan als bedrijven hun risicomanagement niet op orde hebben? Kijk naar bedrijven als Barings, Enron, Wirecard, Facebook, Philips, de Belastingdienst, Volkswagen of Jumbo. En dat zijn alleen nog maar voorbeelden van grote ondernemingen die bij het grote publiek bekend zijn. Ook bij kleinere, onbekende organisaties vinden minder zichtbare, maar niet minder pijnlijke misstappen plaats. Een groot deel van de crises die daarvan het gevolg zijn, had wellicht voorkomen kunnen worden als de betrokken ondernemingen de bewuste risico’s eerder hadden gezien en gemanaged.

Het vereist dat bestuurders, toezichthouders en financiers zich vroegtijdig en indringend bezighouden met het risicomanagement van de onderneming. Dat begint bij de vraag: Beschikt de organisatie over een gestructureerde, diepgaande en ook qua cultuur breed gedragen methodiek voor het inventariseren van risico’s en worden er afdoende maatregelen geformuleerd én uitgevoerd voor het mitigeren daarvan? Effectief risicobeheer strekt zich ook uit tot de soft controls, het leiderschap van de organisatie en het bewustzijn dat het dichttimmeren van elk denkbaar risico succesvol ondernemerschap in de kiem smoort.

Adequate interne risicobeheersing en controle

Onze ervaring als interim directeuren is dat het onderwerp risicomanagement te weinig leeft in ondernemend Nederland. Ondanks het feit dat wet- en regelgeving ondernemingen verplicht om het risicomanagement in organisaties beter in te richten. Zo eist de Nederlandse Corporate Governance Code dat beursgenoteerde bedrijven beschikken over adequate interne risicobeheersings- en controlesystemen. Het bestuur is volgens de code verantwoordelijk voor het identificeren en beheersen van de risico’s die zijn verbonden aan de strategie en de activiteiten van de vennootschap (principe 1.2) en moet verantwoording afleggen over de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen (principe 1.4). De raad van commissarissen houdt daar toezicht op (principe 1.5), waarbij de auditcommissie de besluitvorming van de rvc op dit terrein voorbereidt (best practice 1.5.1).

Niet hoog genoeg op de agenda

Tijdens Custom Management-interim opdrachten merken we regelmatig dat risicomanagement helaas vaak niet de aandacht krijgt die het verdient. Het onderwerp staat niet dominant op de agenda van de meeste bestuurders. Daarvoor worden doorgaans allerlei drogredenen aangevoerd, zoals:

  • 'We hebben het al druk genoeg.’
  • ‘Het gaat al jaren goed, ons gebeurt niets.’
  • ‘We hebben het als een extra taak meegegeven aan onze veiligheids- of compliance-afdeling, dus het komt wel goed.’
  • ‘Het kost alleen maar geld en levert niets op.’
  • ‘We hebben toch een mooie RI&E (Risico Inventarisatie & Evaluatie) gemaakt, dus we zijn in control.’

Dat laatste is een valkuil op zich: interne risico- en beheersingssystemen en protocollen kunnen leiden tot een vals vertrouwen in maakbaarheid en tot schijnveiligheid. Terwijl het gaat om wezenlijke en soms existentiële vragen als: Is de top van de organisatie zich bewust van de snel veranderende en onzekere omgeving? Is er alertheid op nieuwe issues en zwarte zwanen? En is de organisatie voorbereid op de impact daarvan?

Pas op voor doorgeslagen control-modus

Ook bij de raad van commissarissen is risicomanagement niet altijd top of mind. Prikkelen toezichthouders de bestuurders om hierover geregeld verantwoording af te leggen? Of is het een kwestie van: ‘O ja, risicomanagement: dat doen we straks even bij de rondvraag.’ En als er wél structureel aandacht is voor het thema: reikt die dan verder dan sec toezicht houden op de aanwezigheid van adequate interne risicomanagement- en beheersingssystematiek? Een doorgeslagen control-modus bij de rvc kan leiden tot een groot beslag op de tijd en aandacht van het management en daarmee averechts werken.

Overzie het hele risicolandschap

Een ander veelvoorkomend fenomeen is dat risicomanagement te eenzijdig en te eng wordt gedefinieerd en enkel betrekking heeft op de technische, operationele en productie-omgevingen die de continuïteit op korte termijn kunnen bedreigen. Het risicolandschap is breder en strekt zich ook uit tot ondermijning van de continuïteit op de lange termijn. Denk aan kwetsbaarheid door risico’s op het gebied van de strategie en financiën, de beschikbaarheid, kennis & kunde van medewerkers op een krappe arbeidsmarkt, de impact van klimaatverandering en verduurzaming op de business, de inzet van IT, datamanagement en cybersecurity, et cetera. Maar ook interne integriteitsrisico’s, zoals fraude en grensoverschrijdend gedrag, kunnen de organisatie en de reputatie ernstig schaden.

Wat speelt er op de werkvloer?

Het gaat bij risicomanagement dan ook niet alleen om hard controls, maar vooral om soft controls: hoe robuust is de cultuur van de organisatie, hoe veilig is de werksfeer? Durven medewerkers fouten en misstanden te melden en wordt ervan geleerd? Wordt er contact gelegd met andere bedrijven, om van hen te leren na incidenten? Heeft de directie of het bestuur wel zicht op wat er speelt op de werkvloer? Toetst de rvc dat?

Verlaten commissarissen zich daarbij alleen op de informatieverstrekking door het bestuur? Of nemen ze hun haalplicht serieus en gaan ze ook zélf proactief op zoek naar onafhankelijke informatie over cultuur en werksfeer en de mogelijke risico’s die deze met zich meebrengen? Hebben commissarissen bijvoorbeeld regelmatig contact met de ondernemingsraad en de vertrouwenspersoon, praten ze informeel met medewerkers en klanten, staan ze open voor interne signalen dat er iets in de cultuur niet pluis is, acteren ze daarop en reageren ze snel en adequaat bij meldingen van klokkenluiders? Realiseert de rvc zich dat ook de toon aan de top en het gedrag van de directie of het bestuur zélf een groot risico kunnen vormen voor de organisatie(cultuur)?[1]

Adaptief vermogen

Risicomanagement moet ook in balans zijn met het gewenste leiderschap en het ondernemerschap. Regels en protocollen voor risicomanagement zijn noodzakelijk, maar te veel nadruk daarop slaat elk initiatief in de organisatie dood. De covid-pandemie heeft ons geleerd om te leven met onzekerheid. Het voorspellen van de veelheid aan nieuwe ontwikkelingen is onmogelijk, je kunt nooit elk risico voorzien. Organisaties kunnen wél zorgen voor aanpassingsvermogen, bijvoorbeeld door verantwoordelijkheden laag in de organisatie te beleggen: in de frontlinie. Leeft dat besef bij de leiders in de organisatie? Spreekt de rvc het bestuur aan op het gewenste leiderschap in de gehele organisatie om adequaat in te spelen op veranderingen in de omgeving en alert te zijn op risico’s in de eigen cultuur?

En als het toch fout gaat: ligt er dan een crisis- en communicatieplan klaar, om snel te reageren en (via social media) transparant te zijn naar stakeholders? Wordt daarmee regelmatig geoefend, zodat een eventuele crisis niet gepaard hoeft te gaan met de gebruikelijke paniek? Soms wordt daardoor meteen naar het zwaarste middel gegrepen (activiteiten discontinueren, sleutelfiguren ontslaan), terwijl adequaat handelen volgens het draaiboek en heldere communicatie met alle belanghebbenden wellicht voldoende was geweest om de crisis in de kiem te smoren.

Start-up of multinational?

De mate van risicomanagement hangt ook samen met het volwassenheidsniveau in de levenscyclus van de organisatie. Bij startups zal de risk appetite hoger zijn dan bij een consoliderende multinational, die risicomanagement in de governance zal willen verankeren. Maar in beide gevallen geldt: leiders moeten zich bewust worden van de risico’s die de verdere doorgroei en de continuïteit van de organisatie bedreigen en deze regelmatig in kaart brengen. Neem vervolgens gecalculeerde risico’s vanuit de strategie en zorg voor een vangnet. Commissarissen hebben de verantwoordelijkheid om daarop toe te zien, maar tegelijkertijd het ondernemerschap te bewaken.

Aparte bijeenkomst(en) over risicomanagement

Over het inrichten van solide risicomanagement zijn vele artikelen te vinden en adviseurs beschikbaar. Dat hoeven wij als interim directeuren niet uit te leggen aan bestuurders en commissarissen. We pleiten wél voor meer bewustwording van het belang om risicomanagement in brede zin te integreren in de dagelijkse bedrijfsvoering, het leiderschap en het toezicht. Bestuurders zouden ten minste twee keer per jaar een bijeenkomst moeten wijden aan het onderwerp en er ten minste een keer per jaar gedegen verantwoording over moeten afleggen aan de rvc en de aandeelhouders.

Alle lagen organisatie voorbereid

Alertheid op en het adresseren van risico’s kan niet alle crises voorkomen, maar wel een groot deel ervan. Daarbij gaat het niet om het willen beheersen en controleren van elk denkbaar risico, maar om de manier waarop bedrijven het signaleren van en omgaan met interne en externe risico’s hebben geïnternaliseerd en daarop organisatorisch zijn voorbereid: weten alle lagen van de organisatie welke processen er doorlopen moeten worden als er toch iets misgaat? Risicomanagement moet zich dus ontwikkelen van een after thought in de rondvraag tot een solide plek op de bestuurs- en toezichtagenda en een gedeelde verantwoordelijkheid in de organisatie.

Klik hier voor contact met Michel Frequin. 

[1] Bron: D.G. Veldhuizen & M.A.C. Keijzer, ‘RvC niet langer aan de zijlijn bij grensoverschrijdend gedrag’, nieuwsbrief Nyenrode Corporate Governance Instituut, zomer 2023. Dit onderzoek naar de rol van de rvc bij grensoverschrijdend gedrag laat zich ook goed vertalen naar toezicht op andere (integriteits)risico’s. Klik hier om het samenvattende artikel over het onderzoek te lezen of hier voor het volledige artikel in Arbeidsrecht 2023 24.

Auteurs
Michel Frequin
vennoot Custom Management Interim Directeuren
Sector
Bedrijfsleven
Familiebedrijf
Semipubliek
Thema
Risicomanagement
Kennispartner
Custom Management

Verder in deze Governance Update

Benut de herbenoeming van uw bestuurder
Samenwerken aan maatschappelijke opgaven
Magere voldoende voor raad van toezicht
Opkomst en rol van de Board Observer
Hoe goede governance ondernemingen kan behoeden voor greenwashing
Goed toezicht op verduurzaming kan dealwaarde optimaliseren
Best practice
De toegevoegde waarde van toekomstgericht toezicht
Ajax vanaf de zijlijn
‘Denk niet alleen in risico’s, ook in kansen’
Tegenstrijdig belang
De portefeuille van Ellen Schuit
Gepasseerd op het governanceveld
Belastingplan 2024